© Photo: Claudio Fontana

« Réfugiés transparents » : la protection des données dans le domaine de l’asile

Le scénario de la «surveillance globale» n’est pas si éloigné de la vérité pour les personnes requérantes d’asile. Pour les «citoyens ordinaires», la tendance est au renforcement de la protection des données, dans le domaine du contrôle des personnes requérantes d’asile en revanche, celle-ci fait l’objet d’un affaiblissement progressif.

Toute personne qui lit ces lignes a très certainement dû, ces dernières semaines, donner à plusieurs reprises son accord à une actualisation de la protection des données et à de nouveaux paramètres de newsletter. Ces actualisations sont dues à l’entrée en vigueur, la semaine passée, des nouveaux Règlements de l’UE relatifs à la protection des données (RPD). Ce Règlement est actuellement l’instrument de protection des données le plus avancé de la planète. Il renforce les droits des personnes concernées et élargit les devoirs des gestionnaires de données.

Standards de protection élevés

Conformément au RPD, les données ne peuvent être traitées (c’est-à-dire récoltées, enregistrées, conservées, utilisées, transmises, archivées, supprimées, etc.) que si les personnes concernées donnent leur accord, si une loi le permet ou si une autre raison importante le justifie. Les données ne peuvent être utilisées qu’à la seule fin pour laquelle elles ont été récoltées (limitation des finalités) ; les données récoltées sont limitées à ce qui est nécessaire pour atteindre cette finalité (proportionnalité et minimisation des données) ; la personne concernée doit pouvoir savoir quelles données ont été traitées, par qui, comment et à quelle fin (principe de transparence). Elle peut également exiger que les données inexactes la concernant soient rectifiées ou supprimées, même lorsque ces données ont déjà été publiées sur internet (le principe dit du droit à l’oubli). Le Règlement fixe en outre des exigences plus sévères concernant les données sensibles, telles celles portant sur la santé, l’appartenance politique ou religieuse, l’orientation sexuelle, les dossiers pénaux ou l’octroi d’aides sociales.

Qu’en est-il des personnes requérantes?

Des requérantes et requérants d’asile ont-ils donc reçu eux aussi des courriels les priant d’accepter l’actualisation de déclarations de confidentialité concernant la procédure d’asile? Il faut en douter. En effet, le traitement des données du domaine de l’asile repose non pas sur l’accord des personnes concernées, mais sur une base légale. En outre, le RPD ne s’applique pas en Suisse, en tout cas pas dans le domaine de l’asile.

En Suisse, la confidentialité des données dans le domaine de l’asile est réglementée par la loi fédérale sur la protection des données, qui est actuellement en pleine révision, par la loi sur l’asile, ainsi que par des ordonnances. Les principes qui y sont ancrés s’apparentent à ceux du RPD (du moins dans leur intention). En effet, dans le domaine de l’asile, les données personnelles font l’objet d’un traitement à grande échelle. Le Secrétariat d’Etat aux migrations (SEM) gère plusieurs banques de données contenant des données personnelles et affublées d’acronymes tels que ZEMIS, Finasi, MIDES, AURORA et DOPO. A cela s’ajoutent encore les systèmes européens comme Eurodac.

De larges droits d’accès aux systèmes d’information

Ces systèmes répertorient des données personnelles, telles le nom, la date de naissance, le lieu de naissance, le sexe, la nationalité, les adresses, les empreintes digitales, les photographies, l’état de santé ou encore les éventuelles procédures pénales en cours. Les dossiers de la procédure d’asile – par exemple les procès-verbaux des auditions – y sont également répertoriés.

Il suffit de jeter un rapide coup d’œil à la réglementation en la matière pour comprendre qui a accès à ce système: les autorités cantonales et communales des étrangers chargées des questions relatives aux étrangers, les autorités de police, les services de coordination asile et réfugiés et les autorités compétentes en matière d’emploi, plusieurs services de fedpol, la police judiciaire fédérale, plusieurs services de l’Office fédéral de la justice, le Tribunal administratif fédéral, les postes frontières des polices cantonales et les Corps des gardes-frontière, le contrôle fédéral des finances, la centrale de compensation AVS, les autorités fiscales cantonales, les offices de l’état civil, le Service de renseignement de la Confédération, l’administration fédérale des contributions, l’administration fédérale des douanes, les représentations suisses à l’étranger et les missions, plusieurs services du département fédéral des affaires étrangères (DFAE). En outre, l’accès peut être accordé à des tiers qui prennent en charge des tâches du domaine de l’asile, p. ex. des gérants d’hébergements.

De nombreuses autorités et de nombreux particuliers ont donc accès à des données parfois très sensibles sur les personnes requérantes. C’est également le cas dans d’autres pays et les larges systèmes d’information de l’UE le permettent également. Dans le contexte de la lutte contre le terrorisme, de plus en plus de voix s’élèvent pour exiger une mise en réseau des banques de données ainsi qu’une extension des droits d’accès à celles-ci pour la police, les ministères publics et les services secrets. Ainsi, la Suisse entend également accorder aux autorités de poursuite pénale l’accès aux empreintes digitales des personnes requérantes répertoriées dans la banque de données Eurodac. La Commission européenne souhaite elle réformer la banque de données sur les visas (VIS) de telle sorte que toute nouvelle demande de visa soit recoupée automatiquement à tous les autres systèmes d’information de l’UE et ce, afin de garantir une «sécurité accrue et des informations complètes».

Une sécurité accrue par un affaiblissement de la protection des données?

Il n’y a aucun doute que l’échange d’informations entre autorités est un élément clé de lutte contre le terrorisme. Toutefois, il convient de s’interroger sur la prise en compte de la protection des données. N’est-il pas disproportionné d’accorder à tant d’autorités et de services privés l’accès aux données personnelles des personnes requérantes? Le principe de la limitation des finalités est-il respecté lorsque des données, telles que les empreintes digitales, qui à l’origine ont été répertoriées exclusivement dans le but de déterminer l’Etat responsable de l’examen de la demande d’asile, sont par la suite recoupées par les autorités d’exécution des peines? Cette exploitation étendue de leurs données est-elle menée de manière transparente pour les personnes requérantes? Dans le cas contraire: existe-t-il un risque que ces personnes, une fois informées de l’utilisation qui est faite de leurs données, décident de dissimuler certaines informations sur leur santé ou leur orientation sexuelle, avec des répercussions négatives sur leur demande d’asile?

Le réfugié surveillé

Le scénario de la « surveillance globale » n’est pas si éloigné de la vérité pour les personnes requérantes d’asile. Les réfugiés «transparents» ne sont pas loin d’exister: si, pour les «citoyens ordinaires», la tendance est au renforcement de la protection des données, dans le domaine du contrôle des personnes requérantes d’asile en revanche, celle-ci fait l’objet d’un affaiblissement progressif.

Par Nula Frei, maître assistante à l’Institut de droit européen de l’Université de Fribourg (traduit de l’allemand)

Des faits plutôt que des mythes N° 127 / 31 mai 2018